IV REUNION DE AUDITORES INTERNOS DE BANCA CENTRAL

CENTRO DE ESTUDIOS MONETARIOS LATINOAMERICANOS CEMLA

Cartagena de Indias, Colombia 6 al 10 de julio de 1998

EVALUACION DE RIESGOS
Sr. Gabriel Casas Saavedra Banco Central de Mexico

I. INTRODUCCIN
El proceso de globalizacin de las economas, producto de la apertura comercial de los pases, ha llevado a cambios profundos en los mercados financieros. Se han desarrollado nuevos mercados, nuevos instrumentos, as como avances tecnolgicos impactantes, especialmente en las telecomunicaciones y en el procesamiento electrnico de datos que, aplicados a los sistemas de informacin y operacin de los intermediarios financieros, han incrementado la dinmica de los flujos de recursos entre los pases, y se ha favorecido una mayor actividad comercial que ha propiciado que las instituciones tengan mayores oportunidades de desarrollo, pero al mismo tiempo, su exposicin al riesgo ha sido mayor. Los capitales se mueven de un pas a otro no slo tratando de obtener mejores rendimientos, sino tambin en busca de mayor seguridad. Estamos viviendo situaciones que anteriormente no ocurran; ejemplo claro de ello, son los impactos en los mercados financieros de varios pases, ante movimientos adversos en algunos de ellos. En tales condiciones, los temas como administracin y evaluacin de riesgos, han cobrado gran importancia. Visto desde un contexto global, toda actividad empresarial, sin importar su tipo, se propone alcanzar uno o varios objetivos y/o fines, aunque todas enfrentan tambin el riesgo de no lograrlos o no alcanzarlos en la medida esperada. Ese riesgo general involucra riesgos de diferentes tipos a los que estn expuestos, a travs de las operaciones que realiza cualquier entidad, los recursos que se invierten para llevarlas a cabo. Es responsabilidad de los directivos que tienen a su cargo la administracin y operacin de la empresa o entidad, el identificar los riesgos y establecer los controles internos necesarios para prevenirlos, detectarlos y corregirlos. La funcin de auditora interna constituye una actividad de control que establece la administracin de una entidad con el objeto de verificar que los dems controles internos establecidos por la misma, funcionen correcta y oportunamente. El presente trabajo pretende dar una visin acerca de la administracin y evaluacin de riesgos enfocada a los Bancos, incluyendo a los Bancos Centrales, as como al papel del auditor interno con relacin a los mismos.

II. CONCEPTO DE RIESGO, CAUSAS Y CONTROLES

El trmino "riesgo" es un concepto cuyo significado es del dominio comn; sin embargo, para mejor precisin, se exponen algunas definiciones: De acuerdo al diccionario de la Real Academia Espaola, "riesgo" significa "contingencia o proximidad de un dao".

La declaracin No. 9 sobre las normas para la prctica profesional de la auditora interna (SIAS 9), emitida por el Instituto Americano de Auditores Internos, seala al riesgo, como "la posibilidad de que un evento o accin pueda afectar en forma adversa a la organizacin". Riesgo es el potencial de resultados negativos La generalidad de las empresas pueden verse expuestas a diversos tipos de riesgos que pueden resumirse en los siguientes: Contabilidad errnea o inapropiada. Prdida o destruccin de activos fijos o recursos financieros. Costos excesivos/Ingresos deficientes. Sanciones legales. Fraude o robo. Decisiones errneas de la gerencia. Interrupcin del negocio. Deficiencias en el logro de objetivos y metas. Desventaja ante la competencia. Desprestigio de imagen.

De acuerdo con la lista anterior, se puede decir que los riesgos son fcilmente identificables; sin embargo, las causas que propician su aparicin, pueden ser mltiples y de ndole muy diversa. Una misma causa puede generar ms de un tipo de riesgo. Los riesgos no se originan por la falta de controles, estos existen por s mismos y se presentan cuando son causados. Los controles se establecen para reducir o evitar las causas. Como en todo tema objeto de estudio, los autores aplican nueva o diferente terminologa para la identificacin o clasificacin de algunos conceptos. El tema de "Riesgos" no es la excepcin; es por ello, que actualmente nos encontramos con diversas denominaciones, tales como: Riesgo de Mercado, Riesgo de Liquidez, Riesgo de Operacin, Riesgo Legal, etc.; sin embargo, si en cada uno de ellos, analizamos su contenido y sus efectos, encontraremos que estn comprendidos en los anteriormente sealados.

III. ADMINISTRACIN Y EVALUACIN DE RIESGOS 1. ADMINISTRACIN DE RIESGOS

La administracin de riesgos es el proceso mediante el cual la direccin de una Institucin financiera, identifica, cuantifica y controla los riesgos a los cuales la exponen sus actividades. El objetivo de la funcin es asegurarse que las operaciones, principalmente las que realizan las instituciones financieras en los mercados de capital, dinero y cambios, no las expongan a prdidas que puedan amenazar el patrimonio de las mismas; la creciente complejidad que han alcanzado dichos mercados, y la cada vez mayor diversificacin de los instrumentos que se operan, han hecho que la administracin de riesgos sea cada vez ms difcil de evaluar; es por eso que, en la actualidad, es indispensable que las Instituciones Bancarias, cuenten con una unidad de administracin de riesgos. La labor de intermediacin financiera tiene un rasgo inherente: el riesgo; ste existe porque los pasivos de un banco son ciertos, mientras que sus activos siempre presentan algn grado de incobrabilidad o irrecuperabilidad. Es por ello que las entidades y las autoridades, entre cuyos fines se encuentra el de promover el sano desarrollo del sistema financiero, participan en la regulacin de los intermediarios financieros y de las operaciones que estos realizan, y justifica la creacin de entidades avocadas a la supervisin bancaria. La labor de intermediacin financiera no debe poner en riesgo el dinero de sus clientes, ya que ello provocara la prdida de la confianza, fuga de capitales y el colapso, no slo de una institucin en particular, sino del sistema financiero del pas. Del mismo modo, las autoridades encargadas de la supervisin bancaria, deben poner especial nfasis, entre sus procedimientos de inspeccin, en verificar que las instituciones de crdito cuenten en su organizacin con una estructura de administracin de riesgos independiente a la que contrata o realiza las operaciones, y que las polticas y procedimientos establecidos, se cumplan puntualmente. En el caso de un Banco Central, sus objetivos, funciones y operaciones, as como su estructura financiera, difieren radicalmente de las de los intermediarios financieros; sin embargo, debemos considerar que su principal activo lo conforman sus reservas internacionales, y que, para la administracin de stas, necesariamente realiza operaciones en los mercados financieros internacionales. No obstante ello, tomando en cuenta la naturaleza y caractersticas de un

Banco Central, el objetivo con respecto a dichos recursos internacionales, no es el de obtener lucro, sino el coadyuvar a la estabilidad del poder adquisitivo de la moneda nacional y la previsin de los flujos de divisas del pas. Bajo esa premisa, las polticas en materia de operaciones en los mercados financieros son eminentemente conservadoras y permanentes, establecidas exp resamente en su mximo ordenamiento como es su Ley Orgnica y su Reglamento Interior. En el caso de Banco de Mxico, su Ley establece que las divisas susceptibles de formar parte de su reserva internacional son nicamente: Artculo 20 fraccin II .- "Los depsitos, ttulos, valores y dems obligaciones pagaderos fuera del territorio nacional, considerados de primer orden en los mercados internacionales, denominados en moneda extranjera y a cargo de gobiernos de pases distintos de Mxico, de organismos financieros internacionales o de entidades del exterior, siempre que sean exigibles a plazo no mayor de seis meses o de amplia liquidez." Aunque los recursos internacionales del Banco tienen menor exposicin al riesgo de mercado, entendido ste como el que resulta de movimientos adversos en los precios de instrumentos de mercado, debemos tener presente que, no slo estn expuestos a ese tipo de riesgo; su administracin conlleva riesgos adicionales, tales como: falta de liquidez, errores en las operaciones y en los sistemas, falta de apego a disposiciones legales, entre otros. Es por esto, que el Auditor Interno debe asegurarse que los riesgos inherentes a los recursos internacionales y en general, a todas las operaciones de la institucin, estn debidamente administrados. Al respecto, el Manual de Supervisin de Banca de Inversin de la Comisin Nacional Bancaria, sugiere algunas prcticas sanas que debe observar una institucin que opere en los mercados de capital, dinero y cambios:

1. Las instituciones que realicen operaciones en mercados de capital, dinero y cambios deben tener una
funcin de administracin de riesgos que sea independiente del personal de operacin.

2. Las polticas de administracin de riesgos deben ser aprobadas anualmente por el ms alto nivel de la
organizacin.

3. Las instituciones deben tener una poltica que cubra nuevos productos y que, sea revisada y aprobada por 4.
todas las reas involucradas en dichas transacciones. Se debe agrupar, de una manera consistente, en forma agregada, cada tipo de riesgo mayor. Todo riesgo debe ser evaluado desde el punto de vista de monto en riesgo para determinar el nivel de riesgo total a que est expuesta la institucin. El sistema de medicin de riesgo debe poder disgregar el riesgo y agruparlo por tipo, por cliente, por instrumento, por unidad de negocios, etc., con objeto de dar un apoyo efectivo a la administracin general y al control de riesgos. Debe existir una metodologa que permita hacer pruebas de presin (stress test) sobre su cartera, con relacin a variables importantes o eventuales para crear escenarios pesimistas. Es necesario establecer un sistema integrado de informacin gerencial que controle los riesgos de mercado y que genere una amplia gama de reportes. Los miembros de la alta y media direccin, tanto dentro, como fuera de las mesas de operacin, deben estar altamente familiarizados con la filosofa de los riegos de mercado y de crdito. Las instituciones deben estar ntimamente familiarizadas con riegos no cuantificables tales como los riesgos de operacin. Deben tener una metodologa para su anlisis, as como prcticas operacionales que minimicen dichos riesgos. Las instituciones que tengan un importante nivel de operaciones de este tipo, debe tener capacidad de cambio en sus estrategias y posiciones bajo condiciones de mercado rpidamente cambiantes o de crisis. Los sistemas de informacin gerencial deben dar reportes que permitan la toma de decisiones en relacin a riesgos de crdito y de mercado, as como los datos pertinentes con relacin a redituabilidad, operaciones y/o pagos no finiquitados. Se requiere llevar a cabo una revisin peridica para asegurarse que se est cumpliendo con toda normatividad, reglamento y ley vigentes. Las instituciones deben tener un sistema de remuneraciones que no incentive situaciones que entren en conflicto con el mantenimiento de la integridad del sistema de control de riesgos. Los auditores deben realizar revisiones extensivas peridicas sobra la administracin de riesgos, enfatizando la segregacin de funciones y validando la integridad de los datos reportados. Se deben efectuar comprobaciones adicionales cuando existan situaciones extraordinarias como la inclusin de nuevos productos y la introduccin de nuevos modelos.

5. 6. 7. 8. 9. 10. 11. 12. 13.

2. EVALUACIN DE RIESGOS
El concepto de riesgo es un tema que est estrechamente relacionado con la funcin del auditor; sin embargo, cuando se hace referencia a su desempeo, se asocia a ste ms con la evaluacin de controles que con la evaluacin de riesgos, lo cual no es exa cto, ya que en estricto sentido, los controles se establecen para prevenir o reducir riesgos; por lo tanto, para poder evaluar objetivamente la eficacia de los controles, primero debemos identificar los riesgos que deben prevenir, detectar o corregir. "La evaluacin de riesgos es utilizada para identificar, medir y priorizar riesgos con el fin de que el mayor esfuerzo sea realizado para identificar las reas auditables de mayor relevancia. Bajo ese contexto, tanto las declaraciones sobre normas de auditora (SAS.- Statement on Auditing Standards), las declaraciones para la prctica profesional de la auditora interna (SIAS.- Statements on Internal Auditing Standards), y las declaraciones para la prctica profesional de auditora de sistemas (SISAS.- Statements on Information Systems Auditing Standards), establecen lineamientos en materia de riesgos que los auditores deben observar para realizar un buen trabajo y cumplir con sus responsabilidades. El "SAS" 47.-" El riesgo de auditora y la importancia de la realizacin de la misma", seala que la existencia del riesgo de auditora est implcita en la frase "en nuestra opinin", y que el riesgo de auditora es el riesgo que corre el auditor de no modificar, inadvertidamente y en forma apropiada, su opinin sobre los estados financieros que se presentan incorrectamente en importes considerables. Establece, asimismo, que el auditor debe planear la auditora para que el riesgo antes sealado se limite a un nivel bajo que sea, a su juicio profesional, apropiado para emitir una opinin sobre los estados financieros, que el riesgo de auditora puede evaluarse en trminos cuantitativos o no cuantitativos, y que el auditor necesita considerarlo a nivel de cuenta o clase de transacciones individuales. De igual manera, el SIAS 9.-"Valuacin de riesgos", establece que como parte de los planes establecidos para llevar a cabo las responsabilidades del departamento de auditora interna, se debe efectuar una valuacin de riesgos con relacin a su organizacin, y seala como elementos del proceso de valuacin: Identificacin de las actividades auditables. Identificacin de factores de riesgo que son relevantes a las actividades auditables, y Valuacin de los factores de riesgo

No obstante los lineamientos antes expuestos, llama la atencin el resultado de dos estudios realizados en Estados Unidos y el Reino Unido, as como en entrevistas del autor con otros auditores de diferentes pases, en los que, al menos una tercera parte de los grupos de auditora interna entrevistados, no realizan auditora en base a riesgos. Entre las razones de ello se argumentaron: Falta de entendimiento de los conceptos de riesgo. La evaluacin de riesgos puede requerir conocimientos especializados o software. Falta de tiempo para planear. El grupo de auditora es muy reducido para utilizar herramientas de planeacin.

El Instituto Americano de Auditores Internos realiza actualmente, un estudio en materia de riesgos que ha denominado: "Cambiando el Paradigma de Auditor Interno", cuyo objetivo es el identificar o determinar los principios generales utilizados por los administradores de riesgos ms exitosos, y ver como dichos principios pueden ser aplicados en la evaluacin de riesgos por parte del auditor interno. Algunos de los conceptos que han resultado de la investigacin son los siguientes:

AUDITORA INTERNA
ENFOCADA A: PRUEBAS Y PROCEDIMIENTOS DE AUDITORA:

ANTERIOR PARADIGMA
Control Interno A controles importantes

NUEVO PARADIGMA
Administracin de riesgos A riesgos importantes

SUGERENCIAS:

Control Interno: Reforzamiento Costo/Beneficio Eficiencia y Eficacia

Administracin de riesgos: Evitar/Diversificar riesgos Compartir riesgos Controlar riesgos

INFORMES DE AUDITORA:

Referidos al funcionamiento de los controles.

Referidos a los procesos de riesgos.

ROL DEL AUDITOR EN LA ORGANIZACIN:

Funcin de evaluacin independiente.

Coordinada con el rea de administracin de riesgos y niveles de Direccin.

Como se observa en el nuevo paradigma, el principio que rige la actividad del auditor interno, antes que el control, es el riesgo, lo cual es congruente con el concepto mencionado al inicio del presente tema, relativo a que para poder evaluar de manera objetiva la eficacia de los controles establecidos, primero debemos identificar los riesgos relacionados con los mismos.

IV. CONSIDERACIONES PARA LA PRCTICA DE

AUDITORA EN BASE A RIESGOS

De acuerdo con las interpretaciones o guas para la aplicacin de las normas de auditora generalmente aceptadas, contenidas en las declaraciones a que se hizo referencia en el apartado anterior, podemos observar que los procesos de evaluacin de riesgos, tanto en la planeacin, como en la ejecucin del trabajo de auditora, no requieren de un manejo especializado de software, ni de elevados conceptos matemticos, sino del conocimiento, entendimiento y anlisis de diversos aspectos que proporcionan al auditor los elementos de juicio objetivos para direccionar su trabajo hacia las reas y operaciones crticas y de mayor importancia. El "SIAS 9, Valuacin de Riesgos", establece que "La primera fase en el proceso de valuacin de riesgos es identificar y catalogar actividades auditables", y seala que dichas actividades "consisten en aquellos sujetos, unidades o sistemas que son capaces de ser definidos y evaluados". Entre los aspectos que deben analizarse se cuentan: Objetivos de la empresa, organizacin, estructura, polticas, normas, legislacin aplicable, etc. Operaciones y procesos que se llevan a cabo para la consecucin de los fines. Identificacin de la importancia relativa de las diversas operaciones, as como de los procedimientos y grado de automatizacin para llevarlas a cabo.

Como auditores internos, tenemos la ventaja de contar con el conocimiento, tanto de los objetivos de la entidad a la cual pertenecemos, como de las actividades que sta realiza para lograrlos; asimismo, tenemos a nuestro alcance los medios, informacin, documentacin, experiencia de revisiones anteriores, etc., que constituyen los elementos necesarios que le permitirn al auditor realizar dos importantes decisiones:

1. Establecer a qu rea y operaciones se dirigirn los esfuerzos y recursos de auditora (programa anual). 2. Dentro de cada auditora que se programe, determinar qu aspectos clave sern evaluados (programa
detallado de auditora). Sin embargo, para poder llegar a estas decisiones, el auditor debe ordenar, integrar, relacionar y analizar la serie de elementos e informacin recopilada con el fin de establecer y sustentar, objetiva y de manera convincente, su plan anual y sus programas detallados de auditora. Los aspectos que se considera deben cubrirse para ello, son los siguientes:

Determinacin del marco de responsabilidad (universo de auditora).- Lo componen todas las reas que conforman la entidad, as como las actividades u operaciones que realizan o en las que participan cada una de ellas. Agrupacin de operaciones homogneas.- Para darle orden y coherencia al cmulo de informacin que conforma el universo de auditora y contar con una integracin, por operacin, de las reas participantes, suboperaciones, cuentas y subcuentas que las registran. Determinacin de la importancia relativa.- Para conocer el volumen de recursos financieros que se manejan y/o se generan, as como el tamao de las reas participantes (unidades administrativas, recursos humanos, recursos materiales, entre otros). Determinacin de factores de riesgo.- Est en relacin con la naturaleza, tamao y complejidad de las actividades, recursos que se manejan por cada operacin; los procedimientos y grado de automatizacin con que se llevan a cabo. Al respecto, el SIAS 9 indica que: "factores de riesgo son el criterio usado para identificar el significado relativo de, y probabilidad que, condiciones y/o eventos puedan ocurrir que puedan afectar adversamente a la organizacin", y seala que en stos se pueden incluir: Clima de tica y presin a la gerencia para el logro de objetivos Competencia, aptitud e integridad del personal Tamao del activo, liquidez o volumen de transacciones Condiciones financieras y econmicas Condiciones competitivas Complejidad y volatilidad de las actividades Impacto en clientes, proveedores y reglamentos gubernamentales Nivel de sistemas computarizados de informacin Dispersin geogrfica de las operaciones Oportunidad y efectividad de los sistemas de control interno Cambios organizacionales, operacionales, tecnolgicos y econmicos Juicios gerenciales y estimaciones contables Aceptacin de hallazgos de auditora y acciones correctivas tomadas Fecha y resultados de auditoras previas Valuacin de los riesgos.- Mediante la asignacin de valores a los controles establecidos para prevenir, detectar y corregir factores de riesgo inherentes a cada actividad, proceso u operacin. El uso de matrices de riesgo y controles aplicables, constituye una herramienta muy til para este propsito. Probablemente, la recopilacin, integracin y anlisis de los aspectos antes comentados, pueden implicar un proceso largo, pero independientemente del tiempo se que tenga que invertir para ello, constituir una base slida que dar coherencia, objetividad y presencia a la funcin de auditora interna. CONCLUSIONES

a. b. c. d. e. f. g. h. i. j. k. l. m. n.

La actividad comercial alcanzada en los ltimos aos, ha intensificado y diversificado la funcin de intermediacin financiera, creando con ello la oportunidad de obtener mayores beneficios, pero tambin los riesgos se han incrementado. La administracin de riesgos ha surgido como la herramienta moderna a travs de la cual la direccin de una institucin controla los riesgos a los que est expuesta. Aun cuando los objetivos, funciones y operacin de los intermediarios financieros difieren de los de un Banco Central, a este ltimo no le son ajenos los riesgos que aplican para los primeros. La corriente actual en el campo de la funcin de auditora interna, recomienda la evaluacin de los riesgos en vez de la evaluacin del control interno, para aplicar los esfuerzos y recursos de auditora a las reas crticas y de mayor relevancia.

Para poder evaluar objetivamente la eficacia y eficiencia de los controles, primero se deben identificar los riesgos. Los procesos de evaluacin de riesgos para la planeacin y ejecucin del trabajo de auditora interna, no requieren de un manejo especializado de software ni de elevados conceptos matemticos.